O que é exfiltração de dados?
Exfiltração de dados é o roubo ou a transferência não autorizada de dados a partir de um dispositivo ou rede. De acordo com o Framework MITRE ATT&CK, “depois de coletar os dados, os adversários geralmente os empacotam para evitar a detecção enquanto os removem. Isso pode incluir compactação e criptografia".
Como acontece a exfiltração de dados?
A exfiltração de dados pode ser realizada por agentes externos, que invadem a rede com o objetivo de roubar credenciais de usuários, propriedade intelectual e segredos corporativos. Ataques externos geralmente começam pela injeção de malware em um endpoint, tal como um computador ou dispositivo móvel conectado à rede da empresa. O malware exfiltra os dados para um servidor externo controlado pelo agente externo, que pode vendê-los ou publicá-los.
A exfiltração de dados também pode ocorrer quando um agente interno move dados para fora da rede, por exemplo, enviando-os por e-mail para um endereço não corporativo ou copiando-os para um serviço de armazenamento em nuvem ou um produto de software como um serviço (SaaS) desprotegido. Essas ações costumam ser realizadas com boas intenções por funcionários que querem apenas realizar suas tarefas, mas acabam expondo os dados a riscos ao removê-los da supervisão da equipe de segurança e das políticas corporativas.
Técnicas comuns de exfiltração de dados
Engenharia social
A engenharia social é um dos métodos mais comuns de exfiltração de dados. Um adversário engana um usuário, convencendo-o a compartilhar dados ou credenciais confidenciais se passando por funcionário ou parceiro legítimo. Por exemplo, um adversário pode se passar por um agente de atendimento ao cliente para solicitar informações confidenciais para um cliente, como nome de usuário e senha.
Um tipo comum de ataque de engenharia social é o phishing. Nesse tipo de ataque, o invasor envia um e-mail para os usuários que aparenta ser de um remetente legítimo, por exemplo, o departamento de recursos humanos. O e-mail pede que o usuário clique em um link, que envia as vítimas para um website falso idêntico ao portal oficial de recursos humanos. Esse website pode ser configurado exclusivamente para coletar credenciais ou pode conter, no seu código, scripts maliciosos que instalam um keylogger ou outras formas de malware que serão usados para executar a próxima etapa do ataque de phishing.
Erros humanos
Agentes internos descuidados podem acabar transferindo dados confidenciais da empresa dos seus dispositivos seguros fornecidos pela organização para dispositivos pessoais, que não estão protegidos pelas soluções ou políticas de segurança de rede da empresa. Consequentemente, os dados ficam totalmente desprotegidos ou protegidos apenas por ferramentas de segurança básicas. Nessa situação, a exfiltração de dados pode não se limitar à transferência de arquivos — podendo incluir fotos de monitores e gravações de conversas obtidas com o uso de smartphones.
Upload de ameaças internas para dispositivos externos
Embora menos comuns que os colegas descuidados, agentes internos maliciosos podem causar danos muito maiores. Eles podem usar credenciais legítimas para realizar atividades maliciosas por um período extremamente longo antes de serem detectados – se forem detectados. Como as credenciais desse usuário são legítimas, o ataque de exfiltração de dados será imperceptível, a menos que ele esteja transferindo grandes volumes de dados valiosos ou tentando acessar partes do sistema que excedem seu nível de privilégio. Durante o período de atividade, agentes internos maliciosos costumam transferir dados de um dispositivo confiável para um dispositivo pessoal ou pen drive, e depois os carregam em um dispositivo externo, tal como um serviço de armazenamento na dark web, antes de vendê-los ou disseminá-los.
Prevenção contra a exfiltração de dados
As estatísticas sobre o tempo levado para detectar um comprometimento de dados são alarmantes. Elas se devem à dificuldade de detecção da exfiltração de dados, especialmente quando as técnicas usadas pelos invasores se camuflam como tráfego de rede normal.
A prática de defesa mais importante que uma empresa pode implementar também é a mais desafiadora: educar os funcionários. Embora muitas empresas já ofereçam treinamentos regulares e obrigatórios de conscientização sobre segurança, a maioria dos funcionários subestima as chances de serem alvos de ataques. É fundamental que as empresas adotem uma cultura de segurança em toda a organização, para que possam confiar que seus funcionários vão atuar como a primeira linha de defesa.
Políticas "traga seu próprio dispositivo" (BYOD) devem ser implementadas e comunicadas a todos os funcionários. Especialmente no contexto do trabalho remoto, os funcionários podem usar vários dispositivos pessoais para acessar dados confidenciais, de consoles de jogos infantis a computadores antigos que usem o Windows 8. Monitorar a rede para saber quem está fazendo login e quais dispositivos estão sendo utilizados é essencial para impedir o comprometimento de dados e para entender como os usuários interagem com a rede, para um planejamento futuro mais eficaz.
Para cuidar das ameaças internas, tanto benignas quanto maliciosas, é crucial controlar os privilégios. Ou seja, conceder só o privilégio mínimo necessário, controlar dinamicamente os privilégios (revogando o acesso quando um funcionário não precisar mais acessar um sistema confidencial) e revogar sistematicamente os privilégios de ex-funcionários assim que seus contratos forem encerrados, em vez de aguardar uma ou duas semanas para limpar contas antigas.
Narendran é Diretor de Marketing de Produtos para Proteção de Identidade e Zero Trust na CrowdStrike. Ele tem mais de 17 anos de experiência na condução de estratégias de marketing de produtos e GTM em startups de cibersegurança e grandes empresas, como HP e SolarWinds. Anteriormente, foi Diretor de Marketing de Produtos na Preempt Security, que foi adquirida pela CrowdStrike. Narendran possui mestrado em Ciência da Computação pela Universidade de Kiel, Alemanha.
